クラウドからの情報流出リスクに対処するには：社外にある情報のセキュリティを守る

クラウドコンピューティングにまつわる情報セキュリティ問題とは、よその社のネットワークにある情報の流出を心配するということだ。

≫ 2009年02月23日 07時30分公開

[Joel Dubin，TechTarget]

　情報セキュリティのプロであるということは、頭痛との付き合い方を身に着けることでもある。社内ネットワークの情報セキュリティだけでも頭痛の種なのに、よそのネットワークにある情報のセキュリティ確保となるとさらに複雑だ。一言で言うと、ホスティングされたソフトウェア、つまりクラウドコンピューティング、あるいはサービスとしてのソフトウェア（SaaS）にまつわるセキュリティ問題とは、そういうことなのだ。

　SaaSは一見、外部委託の美化されたバージョンのように見える。特にクレジットカード処理などの場合、多くの企業がデータを外部の業者に送っているが、SaaSの場合は少し違う。外部の業者がソフトウェアをホスティングして、実装とインフラを管理しているのだ。ソフトウェアを購入してインストールする代わりに、企業はインターネットなどを経由してSaaSプロバイダーに接続する。SaaSは可用性、管理の容易さ、コスト削減といった理由からビジネス主導になるのが普通だ。

　知名度の高いSaaSプロバイダーにはGoogleやAmazon.comがあり、それぞれのネットワークを通じてアプリケーションをサービスとして提供している。ほかにも例を挙げるとSalesforce.comはCRMソフトウェアをオンラインで提供し、Qualysはセキュリティ監視と、PCI DSS（Payment Card Industry Data Security Standard）で定められた内容を含むすべてのスキャンをオンデマンドで提供している。

SaaSとコンプライアンス

　基本的に、企業が自分たちのネットワークで既に抱えているのと同じセキュリティ不安（ネットワーク、ハードウェア、アプリケーション、データのセキュリティ確保）は、SaaSで情報をアウトソーシングしている企業にも当てはまる。しかしサーベンス・オクスリー（SOX）法、グラム・リーチブライリー（GLBA）法、HIPAA（医療保険の相互運用性と説明責任に関する法律）といった法規制や、PCI DSSといった業界基準のコンプライアンスが絡むと事は複雑になりかねない。

　SaaS以前、コンプライアンスの成功は尽きるところ、ユーザーの特定とアクセス権限の割り当て、重要データの特定とその保存場所および暗号化方法の決定、それらすべてを監査と法令順守のために文書化するという小数の業務が鍵だった。しかし、SaaSでこうしたプロセスが複雑になった。理論的に、企業は自社のデータを完全にコントロールしているはずだが、実際にはSaaSプロバイダーやそのプロバイダーのパートナーがコントロールしているネットワークのどこに自社のデータがあるのか、顧客企業が把握するのは難しいこともある。

SaaSとPCI DSSの管理

　SaaSは膨大な数の法令順守に影響するが、恐らく最も分かりやすいのは「サービスプロバイダー、SaaS、そのほか」という具体的な条項があるPCI DSSだろう。PCIの規定12.8ではサービスプロバイダーに対しコンプライアンスを義務付け、顧客のカード保有者情報の保護責任を契約に明記することを規定。さらに、ホスティングプロバイダーのみを対象とした付表まである。

　PCI DSSの付表Aの規定A.1には4つの補助項目がある。それぞれをもう少し詳しく見ていこう。A.1.1では、ホスティングプロバイダーの個々の顧客はそれぞれ自社のカード保有者のデータ環境にしかアクセスできないと定めている。これは、企業がSaaSベンダーと取引する上でまず質問すべき点だ。

　質問すべき主な内容は次の通り。そのSaaSプロバイダーのシステムアーキテクチャでは、同じサービスを使っている別の社によるデータへの不正アクセスをどうやって防ぐのか。プロバイダーは多数の顧客にサービスを提供するのがビジネスだ。つまり、貴重なデータが別の社のデータと同じサーバに置かれているかもしれない。そしてそれはライバルのデータかもしれないのだ。

　データの隔離と深い関係にあるのが付表A.1.2、サービスプロバイダーが保存するデータのアクセス制御について規定した項だ。このコントロールによって、顧客がアクセスできるのは自社のデータに限り、そのデータを同じサービスを利用する他社によるアクセスから守らなければならない。SaaSプロバイダーのアクセス制御はプロバイダー自らが行ってもいいし、顧客のID・アクセス管理システムに連動させてもいい。

　SaaSがアクセスを処理する場合、ユーザーIDやパスワードといった認証情報はプロバイダーのサーバ上に保存される。これで安全だとほとんどのSaaSプロバイダーは言うが、気を付けた方がいい。プロバイダーが不正アクセスされればデータばかりでなく認証情報も流出する恐れがある。プロバイダーに認証を管理させるためには、ユーザーアカウントの念入りな管理も必要だ。会社を辞めるユーザーのアクセス権は抹消しなければならない。これは自社のID・アクセス管理システムを使って社内でやった方が簡単だ。

　望ましい方法は、会社のディレクトリサービス（Active DirectoryやLDAPディレクトリ）と直接連動させて、SaaSサービスの認証を行うことだ。現在このオプションを提供しているSaaSプロバイダーは多数ある。

　次の懸念事項として付表A.1.3が網羅しているのはログ記録と監査証跡だ。これはPCIの規定10で義務付けられている。ログ管理とSIM（セキュリティ情報マネジメント）ツールは、会社のネットワーク監視用にかなり高度化が進んできたが、SaaSプロバイダーなど社外のネットワーク監視に使うことはできない。

　ログと監査証跡は調査のために必要になることもある。これについて記した付表A.1.4ではプロバイダーに対し、不正アクセスがあった場合は「時機にかなった科学調査の提供」を義務付けている。

　SaaSプロバイダーのログは社内にあり、外部から、あるいは顧客からアクセスできるとは限らないため、（調査は言うまでもなく）監視は難しい。ログへのアクセスはPCIコンプライアンスで義務付けられており、監査役や規制当局による請求もできるため、サービス契約の一環としてプロバイダーのログにアクセスできるよう交渉することだ。

Webアプリケーションと不正アクセス

　こうしたPCI特有の問題のほかに考慮すべきなのは、Webアプリケーションのセキュリティ、プロバイダー内部関係者による情報漏えい、データの保存場所だ。

　企業とSaaSプロバイダーとの接続にはWebを使う場合が多いため、プロバイダーにはセキュアなアプリケーション開発のガイドラインであるOWASP（Open Web Application Security Project）に従っているかどうかを含め、Webアプリケーションのセキュリティについて質問しておくといい。これはOWASPのコードプラクティス順守を義務付けたPCI規定6.5に定められている。

　プロバイダー側は、データをどこに保存するか、情報流出を自社の担当者の間でどう処理するかについて、答えを用意しておく必要がある。大規模なITネットワークが多数広がるグローバルな世界の中で、シンガポール、ブラジル、英国といった遠方にあるSaaSプロバイダーのサービスにデータが置かれる可能性もある。情報流出が起きた場合、これは司法管轄権の問題だけでなく、ただでさえ重い米国での負担に加えて、それぞれの国で現地のコンプライアンスと法律の問題が絡んでくる。

　クラウドコンピューティング人気の高まりに伴い、コンプライアンス問題を考慮することはますます不可欠になっている。理論的にはSaaSによって情報のリスクは高まる。念入りにコントロールされた会社のネットワークの外に、ITセキュリティのコントロールを渡してしまうことになるからだ。しかし、ここに挙げた助言を念頭に置いてベストプラクティスを守れば、いずれにしても会社の情報のセキュリティを守ることは可能だ。

本稿筆者のジョエル・デュビン氏はCISSP（公認情報システムセキュリティ専門家）資格を持つ独立系コンピュータセキュリティコンサルタント。Microsoft MVPに選ばれ、Web／アプリケーションセキュリティを専門とする。著書に『The Little Black Book of Computer Security, Second Edition』があり、シカゴのラジオ局WIITでコンピュータセキュリティの番組を担当。「IT Security Guy」ブログも運営している。